Prima di scoprire come automatizzare l’installazione e aggiornamento di LogOS con Dr.WOLF, vediamo in dettaglio di cosa si tratta. LogOS SIEM è una soluzione offerta da Seacom in ambito Security, che permette di raccogliere e visualizzare le informazioni utili al...
La versione di Elastic 7.12 è appena stata rilasciata. Alcune novità da mettere in evidenza riguardano la componente Runtime Fields, introdotta nella 7.11 per indicizzare i dati in modo ancora più rapido. Ci sono anche delle nuove feature per le attività di Observability e di sviluppo per le applicazioni di Elasticsearch.
Andiamo a scoprire nel dettaglio quali sono i miglioramenti e le nuove funzionalità che questa release propone.
L’innovazione dei Runtime Fields
Nella precedente versione Elasticsearch 7.11 erano stati introdotti i Runtime Fields, un’implementazione dello schema in lettura (schema on read).
Si tratta di un nuovo modo flessibile e veloce per caricare, esplorare e cercare dati in Elasticsearch, e ne avevamo parlato qui (link a Elastic 7.11). Nella relase 7.12 possiamo ora ricercare i runtime in Kibana Discover, semplificando così l’esperienza utente complessiva. Una volta creato uno o più runtime field l’utente può utilizzare Discover per mostrare sia i campi indicizzati che quelli a runtime.
Questi ultimi li vediamo come se fossero campi regolari. In questo modo chi utilizza Elastic può disporre di visualizzazioni e dashboard per esplorare i dati come sempre è stato fatto con Kibana.
Un’Observability sempre più potenziata in Elastic 7.12
Per quanto riguarda i miglioramenti per l’Observability in Elastic 7.12 Elastic APM introduce una nuova funzionalità che analizza le transazioni delle applicazioni con latenze ed errori elevati. Questa feature fa emergere automaticamente i metadati dell’infrastruttura che sono altamente correlati con le transazioni aventi prestazioni insufficienti. Con questa funzionalità gli utenti possono indagare immediatamente sulla causa principale delle scarse prestazioni e agire subito in modo da ridurre i tempi di risoluzione. Questa capacità guida anche il flusso di lavoro proattivo, aiutando i proprietari delle applicazioni a identificare le aree di miglioramento e ottimizzare continuamente l’esperienza dell’utente finale.
Ad esempio, la funzione di correlazione potrebbe far emergere che una particolare versione del servizio è altamente correlata con prestazioni lente. Oppure che, a un particolare cliente, venga attribuita una maggior importanza nelle transazioni che presentano errori.
Questa nuova funzione confronta i tag su quelle transazioni con latenze ed errori elevati con l’insieme di tutte le transazioni e identifica automaticamente i metadati che sono insolitamente comuni nelle transazioni non ottimali.
La nuova multi-term aggregation in Elasticsearch
In Elasticsearch 7.12 ci sono nuovi miglioramenti per quanto riguarda l’aggregazione di dati. Tra questi figura anche il minor consumo di memoria e l’aggiunta della innovativa multi-term aggregation. L’aggregazione multi-term è un’aggregazione basata su dati sorgente, è di tipo multi-bucket. In particolare i bucket vengono creati dinamicamente, un bucket per ogni insieme di valori univoco.
Quando utilizzare le aggregazioni multi-term rispetto alle già esistenti aggregazioni composite? Una multi-term risulta più utile quando è necessario ordinare in base a un certo numero di documenti o se serve fare una aggregazione metric su una chiave composta e ottenere i primi risultati. Se invece l’ordinamento non è richiesto le aggregazioni composite rappresentano una soluzione più veloce ed efficiente in termini di memoria.
Con Elastic 7.12 si possono eliminare le ricerche asincrone precedente create
Dall’introduzione della ricerca asincrona e dalla possibilità di inviare ricerche in background, è facile inviare una query e lasciare che Elasticsearch svolga le attività in multitasking. Ora, come amministratore, è anche possibile eliminare una ricerca asincrona dimenticata. Alcuni utenti potrebbero aver dimenticato di aver avviato precedentemente una lunga ricerca, liberando così risorse di ricerca.
Query su elementi geografici in Elastic 7.12
In Elasticsearch le query geo_shape su geo_points erano possili solo utilizzando la relazione di intersection. Con la nuova versione è stato aggiunto il supporto per le restanti relazioni: disjoint, within e contains. Questa modifica semplifica l’uso delle API, poiché le stesse relazioni si applicano sia a geo_shapes che a geo_points, oltre a consentire di utilizzare tutti i punti che sono al di fuori della geo_shape definita.
Novità per i criteri di retention dei dati
In Elasticsearch adesso è possibile includere un criterio di retention dei dati (conservazione dei dati) per rimuoverli dall’indice di destinazione una volta raggiunto il periodo di retention. Ciò consente di eliminare entità se non sono state aggiornate durante il periodo di retention. Questa funzionalità è particolarmente utile con la funzionalità delle Transform. Se ad esempio con le Transform si crea un indice che mantiene lo stato più recente dei dati host, è possibile utilizzare il periodo di retention per rimuovere gli host che non sono stati aggiornati di recente (mettendo la spunta su Retention Policy).
Fonti:
Elastic release 7.12 (Steve Kearns e Angelos Kottas) e Elasticsearch 7.12 (George Kobar)
Altro su Elastic:
Contatta Seacom
Rimani aggiornato su tutte novità Elastic oppure richiedi una consulenza a Seacom